Re: IPMI

To: debian-user-dutch@lists.debian.org
Subject: Re: IPMI
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Wed, 01 Oct 2014 11:22:14 +0200
Message-id: <[🔎] 542BC7C6.2050100@vandervlis.nl>
In-reply-to: <[🔎] 542BBE82.4080806@gmail.com>
References: <20140926131114.GP9398@gpm.stappers.nl> <542728B5.7020507@vandervlis.nl> <54280168.8040706@gmail.com> <5428094D.5090001@vandervlis.nl> <[🔎] 542BBE82.4080806@gmail.com>

op 01-10-14 10:42, Jan-Rens Reitsma schreef:
> On 09/28/2014 03:12 PM, Paul van der Vlis wrote:

>> Dat ligt er maar aan hoe je die "aparte achteringang" aansluit.
>> Je kunt hem heus ook direct aan internet hangen, en er zijn ook mensen
>> die dat doen:
>> http://arstechnica.com/security/2014/06/at-least-32000-servers-broadcast-admin-passwords-in-the-clear-advisory-warns/
>
> Aardig om het artikel even gelezen te hebben. Ik had al eerder iets over
> onderhoud en beveiliging van (big-business-class-)servers gelezen.
> Als ik me niet vergis kun je alle faciliteiten van een (business-class)
> BMC/IPMI alleen gebruiken als je een (vrij prijzig) contract met de
> leverancier van de server afsluit. Die levert dan de software, updates,
> service en geeft garantie (en tegen meerprijs evt nog meer toeters en
> bellen).

Nee, dat is niet zo. Je koopt een moederbord of een complete server en
daarop zit IPMI, soms is het een optie in de vorm van een
uitbreidingskaart, maar zo'n kaart werkt niet op een willekeurig
moederbord. Ik heb nog nooit wat gehoord over contracten. Ja, bij HP
moet je geloof ik meer betalen voor extra functionaliteit.

Voorbeeld van een goedkoop (180 euro) moederbord met IPMI:
http://www.supermicro.com/products/motherboard/Xeon/C202_C204/X9SCM-F.cfm

>>> Die
>>> achteringang hoort volgens mij alleen via een apart netwerk toegankelijk
>>> te zijn dat zich achter een zwaar bewaakte firewall bevindt.
>>
>> Dat is wat ik ook schreef.
> 
> Op wikipedia staat dat er vaak gebruik gemaakt wordt van out-of-band
> management. (Zie: http://en.wikipedia.org/wiki/Out-of-band_management)
> 
> Ik neem aan dat er (flinke) verschillen zijn tussen de
> IPMI-implementaties die verschillende fabrikanten van servers leveren.

Ze proberen dat wel zo te laten lijken, maar zoveel verschil is er niet
volgens mij. Ik wil er ook niet zoveel mee.

>>> Als dit
>>> computertje als trojan zou fungeren, dan is er volgens mij iets ernstig
>>> mis gegaan.
>>
>> Misschien is "hardware trojan" niet het juiste woord, vandaar ook die
>> knipoog. IPMI wordt normaal gebruikt voor heel legitieme zaken.
> 
> Ik denk dat bedrijven als HP niet blij zijn wanneer een klant in de
> problemen raakt omdat hij slordig met toegang tot de IPMI van zijn
> server omspringt.

Nee, maar het is wel zijn eigen schuld. Bedrijven als Supermicro zeggen
ook duidelijk dat IPMI niet bedoeld is om open over internet te
gebruiken. Ik denk dat HP dat ook zegt, maar weet dat niet 100% zeker.

> Maar ik begrijp uit het artikel dat je aanhaalde, dat grote IT-bedrijven
> in het verleden ook steken hebben laten vallen als het om beveiliging
> van IPMI's gaat. Dat geeft te denken ...

Inderdaad. En denk eens aan een fileserver bij een klein bedrijf. Daar
is er vaak maar eentje, dan heb je geen beveiligd netwerk van buiten af.
Een veilige IPMI zou dan heel waardevol zijn.

Groet,
Paul.




-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl

Reply to:

Follow-Ups:
- Re: IPMI
  - From: Jos <jos@ossolutions.nl>

References:
- Re: IPMI
  - From: Jan-Rens Reitsma <jan.rens.reitsma@gmail.com>

Prev by Date: Re: bash vraag
Next by Date: Lijst met ondersteunde devices genereren
Previous by thread: Re: IPMI
Next by thread: Re: IPMI
Index(es):
- Date
- Thread